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Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

Verfahren zunn Herstellen eines elektronischen Sicherheitsnnoduls 

(57) Die Erfindung schlagt vor, bei der Herstellung einer 
Chipkarte einen offentlichen Schlussel des spateren Ab- 
nehmers der Karte in dem ROM abspeichern. Bei der In- 
itialisierung kann dann die Authentizitat der eingebrach- 
ten Daten anhand einer Signatur uberpruft werden. Fallt 
die Uberprufung negativ aus, wird die Initialisierung der 
Chipkarte abgebrochen. 
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Beschreibung 

[0001] Die Erfindung betrifft ein Verfahren zum Herstel- 
len elektronischer Sicherheitsmodule und die nach diesem 
Verfahren hergestellten Sicherheitsmodule. Chipkarten, die 5 
beispielsweise als Zahlungsmittel oder als Signaturkarte 
vcrwcndct wcrdcn konncn, miisscn nach bcstimmtcn vorgc- 
schriebenen Verfahren so gestaltet werden, dass ein Miss- 
brauch ausgeschlossen wird. 

[0002] An der Fertigung einer solchen Chipkarte sind ver- 10 
schiedene Instanzen beteiligt. Zunachst gibt es den Chipher- 
steller, der also das Kemstiick der Chipkarte produziert. Auf 
den Chip wird dann eine ROM-Maske aufgebracht, die von 
einem anderen Hersteller geliefert wird. Die ROM-Maske 
enthalt unter anderem das Betriebs system, das fiir den Be- 15 
trieb der Chipkarte erforderlich ist. 

[0003] Beim letzten Vorgang der Herstellung der Chip- 
karte muss diese zunachst initialisiert und anschlieBend per- 
sonalisiert werden. Bei der Initialisierung werden die Vor- 
aussetzungen geschaffen, Personalisierungsdaten in den 20 
Speicherbereich des Chips zu laden. Dabei werden alle glo- 
bal notigen Daten iibertragen und die notigen Dateistruktu- 
ren angelegt. 

[0004] Bei der anschlieBenden Personalisierung werden 
die individuellen Daten in die Chipkarte eingebracht. Die 25 
Karten werden dann von den Abnehmem, beispielsweise 
kreditwirtschaftlichen Verlagen, an Banken oder direkt an 
Endkunden geliefert. 

[0005] Es muss bei der Personalisierung sichergestellt 
werden, dass die hierzu gehorenden Daten nicht abgehort 30 
werden konnen. Daher werden die Initialisierung und Perso- 
nalisierung als getrennte Prozessschritte behandelt und auch 

an unterschiedlichen Stellen durchgefuhrt. 

[0006] Der Erfindung liegt die Aufgabe zu Grunde, ein 

elektronisches Sicherheitsmodul, insbesondere eine Chip- 35 

karte in sicherheitstechnischer Hinsicht weiter zu verbes- 

sem. 

[0007] Zur Losung dieser Aufgabe schlagt die Erfindung 
ein Verfahren mit den im Anspruch 1 genannten Merkmaien 
vor. Die Erfindung schlagt ebenfalls ein nach diesem Ver- 40 
fahren herstellbares Sicherheitsmodul vor. Weiterbildungen 
der Erfindung sind Gegenstand von Unteranspruchen. 
[0008] Anhand der Uberpriifung der Signatur uber be- 
stimmte Daten mit Hilfe des in dem Chip abgespeicherten 
offentlichen Schliissels des Abnehmers der Chipkarte kann 45 
sichergestellt werden, ob die Initialisierungsdaten tatsach- 
lich von derrichtigen Stelle stammen. 
[0009] Anstelle des offentlichen Schliissels selbst kann 
auch, wie von der Erfindung in Weiterbildung vorgeschla- 
gen wird, ein von dem offentlichen Schliissel abgeleiteter 50 
Hashwert bei der Chipherstellung eingebracht werden. 
[0010] Bei dem Hashwert handelt es sich um einen Priif- 
wert, der es ermoglicht, Anderungen des offentlichen 
Schliissels zu erkennen. Zwei verscliiedene offentliche 
Schliissel haben in der Praxis immer einen verschiedenen 55 
Hashwert. Aus dem Hashwert ist es jedoch nicht moglich, 
auf den Schliissel zu schlieBen, von dem der Hashwert abge- 
leitet wurde. Auf diese Weise wird es moglich, bei der Initia- 
lisierung zu iibcrpriifcn, ob die Initialisierungsdaten tatsach- 
lich von der richtigen Stelle, das heiBt dem richtigen Abneh- 60 
mer der Chipkarte, stammen. Wenn eine Uberpriifung er- 
gibt, dass der Hashwert und der offentliche Schliissel nicht 
zusammen pas sen, wird die Initialisierung abgebrochen. 
[0011] Der von dem offentlichen Schliissel abgeleitete 
Hashwert hat den Vorteil, dass er weniger Platz benotigt als 65 
der offentHche Schliissel selbst. 

[0012] In Weiterbildung der Erfindung kann vorgesehen 
sein, dass der Hashwert von dem Abnehmer der Chipkarte 
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erzeugt und dem Hersteller des Chips und/oder der ROM 

Maske niitgeteilt wird. 

[0013] Es kann vorgesehen sein, dass der zur Berechnung 
des Hashwerts benutzte Algorithmus oder Angaben dariiber, 
welcher bekannte Algorithmus benutzt wurde, dem Herstel- 
ler des Chips und/oder der ROM Maske mitgeteilt und in 
dem Spcichcr des Chips mit abgcspcichcrt wird. 
[0014] Es ist ebenfalls moglich und liegt im Rahmen der 
Erfindung, dass der Hashwert von dem Hersteller des Chips 
und/oder der ROM Maske erzeugt und zusammen mit dem 
zu seiner Erzeugung genutzten Algorithmus in dem Spei- 
cher des Chips abgespeichert wird. 

[0015] Bei der Initialisierung kann vorgesehen sein, dass 
der offentHche Schliissel und sein Hashwert eingegeben 
werden, so dass die Uberpriifung durch Vergleich mit dem 
abgespeicherten Hashwert und dem bei der Initialisierung 
neu eingegebenen Hashwert erfolgen kann. 
[0016] Es ist aber ebenfalls moglich und wird von der Er- 
findung vorgeschlagen, dass der Hashwert des eingegebe- 
nen offentfichen Schliissels an Hand des Algorithmus be- 
rechnet und das Ergebnis mit dem abgespeicherten Wert ein- 
fach verglichen wird. Auch dies ist eine Moglichkeit zur 
Uberpriifung der Korrektheit des eingegebenen offentlichen 
Schliissels. 

[0017] Eine weitere Moglichkeit zur Uberpriifung kann 
darin bestehen, dass bei der Initialisierung der Chipkarte der 
offentliche Schliissel und der zur Erzeugung seines 
Hashwerts benutzte Algorithmus eingegeben werden. 
[0018] Wenn ein Chipkartenhersteller mehrere Abnehmer 
hat, so kann erfindungsgemal3 vorgesehen sein, dass in einer 
Chipkarte fiir jeden der moglichen Abnehmer ein offentli- 
cher Schliissel beziehungsweise sein Hashwert und gegebe- 
nenfalls der zu seiner Berechnung erforderliche Algorith- 
mus gespeichert werden. Bei der Initialisierung erfolgt dann 
die Identifizierung, um welchen Abnelimer es sich handelt, 
in sonstiger Weise. Die Uberpriifung des Hashwerts wird 
aber in der gleichen Weise durchgefuhrt, wie sie hierin be- 
schrieben wird. 

[0019] EriindungsgemaB kann zur weiteren Verbesserung 
der Sicherheit auch vorgesehen sein, dass fur einen Abneh- 
mer mehrere offentliche Schliissel beziehungsweise 
Hashwerte fiir mehrere Schliissel abgespeichert werden, um 
z. B. auf diese Weise Schliissel unterschiedlicher Lange zu 
verwenden. 

[0020] Weitere Merkmale, Einzelheiten und Vorziige der 
Erfindung ergeben sich aus der folgenden Beschreibung ei- 
ner bevorzugten Ausfiihrungsfomi der Erfindung sowie an- 
hand der Zeichnung. Hierbei zeigen: 

[0021] Fig. 1 schematisch den Aufbau des Chips einer 
Chipkarte; 

[0022] Fig. 2 schematisch den Aufbau des Chips nach 

Einbringung des Initialisierungsimages; 

[0023] Fig. 3 die Einbringung des abnehmerspezifischen 

geheimen Scliliissels; 

[0024] Fig. 4 das Einbringen der Priifdaten beim Chipkar- 
tenhersteller; 

[0025] Fig. 5 den Zustand des Chips nach erfolgter Uber- 
priifung. 

[0026] Der Chip enthalt cine ROM-Maske 1, die von dem 
ROM-Maskenhersteller produziert und von dem (^hipher- 
steller in den Chip eingebracht wird. Die ROM-Maske ent- 
halt unter anderem das Betriebs system, das fiir die weiteren 
Herstellungsschritte der Betrieb des Chips erforderlich ist. 
[0027] Weiterhin enthalt der Chip ein EEPROM 2, das zur 
Aufnahme von Daten und Programmcode bestimmt ist. Das 
EEPROM 2 ist in drei Bereiche aufgeteilt, namlich einen 
Startbereich 3, einen Priifbereich 4 und einen Bereich 5 fiir 
Daten und Prograiiuiicode. 
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[0028] Fig, 1 zeigt den Zustand beim Chiphersteller, in 
dessen sicherer Umgebung 6 sein Schliissel aus einem Spei- 
cherbereich 7 auf gesichertem Weg in einen Speicherbereich 
8 des Startbereichs 3 des EEPROMs eingeschrieben wird. 
[0029] Im Einzelnen gilt dabei folgendes: 5 
Key-Management des Chipherstellers und der Abnehmer 
des Chipherstellers, z. B. der Verlagc: 
Der (Chiphersteller bringt bei der (Chipproduktion die ROM- 
Maske in die evaluierte Chip-Hardware ein. Die Produkti- 
onsumgebung des Chipherstellers ist nach den Vorgaben des 10 
Signaturgesetzes fur die Produktion von SigG konformen 
Chips zu evaluieren. Der Chiphersteller bestatigt dem Ver- 
lag und dem Chipkartenhersteller, dass nur Chips mit evalu- 
ierter Hardware fur die Produktion von Signaturkarten- 
Chips verwendet werden. 15 

ROM-Maske des Chips 

[0030] Der ROM-Maskenhersteller erstellt die Betriebs- 
system- und Anwendungssoftware fur die Chipkarte in 20 
Form einer ROM-Maske. 

[0031] Die ROM-Maske enthalt fiir jeden Abnehmer, bei- 
spielsweise einen Verlag, zwei 20 Byte lange Hash-Werte 
uber einen verlagsspezifischen offentlichen Schliissel PK- 
Verlag-Chip sowie die 2 Byte lange Byte-Langen des Mo- 25 
dulus und die 3 Byte lange Schliisselkennung Info-PK- Ver- 
lag zu dem jeweiligen PK-Verlag-('hip. 
[0032] Jeder Verlag stellt dazu im Vorfeld dem ROM- 
Maskenhersteller diese Werte fiir Hash- Wert, Byte-Lange 
und Info-PK- Verlag zur Verfiigung. Zusatzlich erhalt der 30 
ROM-Maskenhersteller den Modulus zum Nachrechnen des 
Hash-Wertes. 

[0033] Die Fig. 1 zeigt die Anordnung der Hashwerte in 
den Feldem 9 bis 12 der ROM-Maske des Chips, jeder 
Hash-Wert wird wie oben beschrieben in der ROM-Maske 35 
durch die jeweiligen Zusatzinformationen erganzt. 
[0034] Die ROM-Maske wird anschlieBend vom Evalua- 
tor nach den gemaB Signaturgesetz vorgesehenen Sicher- 
heitsanforderungen fiir die technische Komponente zur Er- 
zeugung und Speicherung des Signaturschliissels evaluiert 40 
und dem Chiphersteller zur Aufbringung auf dem evaluier- 
ten Chip iibergeben. 

[0035] Im Rahmen der Chipherstellung bringt der Chi- 
phersteller den Triple-DES-Schliissel K-Chip zusammen 
mit Nebeninformationen zum Schliissel, das Chippasswort 45 
und weitere Daten gesichert in den Startbereich 3 des EE- 
PROMs (GroBe in der Regel 64 Bytes) der Chipkarte ein. 
[0036] Das Betriebssystem des Chips muss durch geeig- 
nete MaBnahmen dafiir Sorge tragen, dass der eingebrachte 
Schliissel K-Chip und das Chippasswort nicht aus dem EE- 50 
PROM auslesbar sind und der Startbereich nicht manipulier- 
bar ist. Des Weiteren darf die Einbringung des Chippass- 
worts und des Schliissels K-Chip nur in den Startbereich des 
EEPROMS moglich sein. 

[0037] Das Betriebssystem des Chips ist so zu gestalten, 55 
dass Unterprogrammaufrufe, die vom ROM-Code initiiert 
werden, um Code im EEPROM-Bereich ansprechen zu kon- 
nen, z. B. immer auf eine oder mehrere entsprechende 
Sprungadrcssc(n) 13 im Startbereich des EEPROMs wciscn. 
Diese S prungadressen 13 enthalten vom Zeitpunkt der (^hip- 60 
Produktion beim Chiphersteller bis zu der erfolgreichen 
Ausfiihrung des VERIFY_EEPROM-Konmiandos immer 
eine "RETURN"-Anweisung, d. h. die ubrigen EEPROM- 
Bereiche werden weder direkt noch indirekt zur Ausfuhrung 
von Code adressiert. 65 
[0038] Die Herstellung des Chips der Chipkarte beim Chi- 
phersteller ist damit abgeschlossen. Die produzierten Chips 
werden nach der Modularisierung an den Chipkartenherstel- 
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ler ausgeliefert. Der Chipkartenhersteller erhalt Chips fiir 

die Chipkarte, die noch nicht abnehmerspezifisch sind, son- 
dern erst bei der Initialisierung einem der beispielsweise 
vier Abnehmer zugeordnet werden. Dies vereinfacht ggf 
die Disposition der vorhandenen Chipmengen beim Chip- 
kartenhersteller und reduziert durch die anfallenden groBe- 
rcn Einkaufsmcngen beim Chiphersteller den Stiickprcis des 
Chips. 

Schliisselaustausch mit den Verlagen fiir K-Chip 

[0039] Jeder Chiphersteller bringt seinen K-Chip in das 

Sicherheitsmodul (S-Box) des Initialisierungstools ein, das 
dafiir beim jeweiligen AbnehmerA^erlag aufgestellt wird. 
Diese S-Box besitzt u, a. folgende Funktionalitat: 
Einbringung des chipherstellerspezifischen Schliissels K- 
Chip; 

Einbringung des verlagsspezifischen Schliissels K-Chip- 
Verlag; 

Verschliisselung des eingebrachten K-Chip- Verlag mit dem 
Schliissel K-Chip; 

Verschliisselung der Schliissel fur den Priifbereich des Chips 
mit K-Chip- Verlag; 

Berechnung der Signatur liber die Priif werte und 
Erstellung der entsprechenden Chiffren fiir die Testkarten. 
[0040] Das Kryptogramm iiber K-Chip- Verlag wird spater 
in die Initialisierungstabelle des (^hips der ("hipkarte iiber- 
geben. Durch den verlagsspezifischen K-Chip- Verlag wird 
eine klare Abgrenzung der Sicherheitskonzepte der einzel- 
nen Verlage erreicht. 

[0041] Den Verlagen darf es nicht moglich sein, durch et- 
waige Kenntnis eines mit K-Chip verschliisselten Schliissels 
K-Chip- Verlag eines anderen Verlags den Schliissel K-Chip- 
Verlag eines anderen Verlags zu benutzen. Da K-Chip chi- 
pherstellerspezifisch ist, muss in der S-Box des Initialisie- 
rungstools die Funktion "Export des K-Chip" und "Ent- 
schliisseln mit K-Chip" gesperrt sein. Es darf nur moglich 
sein, mit dieser S-Box den K-Chip- Verlag zu verschliisseln. 
Die Funktionen der S-Box diirfen nur nach vorheriger Au- 
thentikation (z. B. PIN-Eingabe) des Benutzers gegen die S- 
Box ausfiihrbar sein. 

[0042] Initialisierung und Aufbau der Initialisierungsta- 
belle: 

Die Initialisierungstabelle ist ein wesentliches Produktions- 
mittel fiir die Cliipkarte. Sie kann bei der Herstellung der 
Chipkarte fiir die Einbringung identischer Speicherinhalte in 
alle Chipkarten einer ROM-Maske verwendet werden. 
[0043] Der ROM-Maskenhersteller erstellt nach Fertig- 
stellung der Programmierung von Code und Datenstruktu- 
ren ein Abbild eines speziellen Zustands des persistenten 
Speichers des Chips, das sogenannte Initialisierungsimage. 
Dieses soil in den persistenten Speicher der Chipkartenchips 
geladen werden, um diese zur Aufnahme von Personalisie- 
rungsdaten vorzubereiten. Zum Zweck einer geeigneten und 
sicheren Einbringung muss das Image fiir den Chip durch 
Hinzufiigen von KontroU-, Protokoll- und Priifinformatio- 
nen in das Format einer produktiven Initialisierungstabelle 
fiir die Initialisierungsanlage transformiert werden. 
[0044] Die Initialisierungstabelle enthalt nach dem Tabcl- 
lenkopf IJntertabellen mit Kommandofolgen, die der Initia- 
lisierer an die Chipkarte iibergeben muss, sowie Komman- 
dos und Informationen zur KontroUe und Protokollierung 
des Initialisierungsprozesses. 

[0045] Die Telle der Initialisierungstabelle, die die Kom- 
mandos und die dazugehorigen Kommandodaten enthalten, 
werden durch den Initialisierer satzweise in die Chipkarte 
geladen, indem der entsprechende Datensatz, bestehend aus 
einem Basis-Koiiuiiando und den zugehorigen Dalen, an 



DE 102 18 

5 

den Chip geschickt wird. Der Chip antwortet mil einem Re- 

turncode, der mit dem entsprechenden Retumcode in der 
Kommandotabelle verglichen werden muss. Stimmen beide 
nicht miteinander iiberein, so ist der abweichende Return- 
code zu protokollieren und das Laden der Initialisierungsta- 5 
belle abzubrechen. 

[0046] Die Fig, 2 zcigt schcmatisch den Aufbau dcs EE- 
PROMS der C^hipkarte nach Einbringung des Initialisie- 
rungsimages. Der fiir den Programmcode und die Daten vor- 
gesehene Bereich 5 des EPROMs enthalt jetzt eine Sprung- 10 
tabelle 15, von der aus eine Verzweigung auf mehrere Spei- 
cherbereiche 16 mit Programmcode erfolgen kann. Weiter- 
hin entlialt der Bereich 5 einen Bereich 17 fiir ein Filesystem 
mit konstanten Dateninh alien. 

[0047] Einbringung des verlagsspezifischen K-Chip-Ver- 15 
lag beim Chipkartenhersteller: 

Als erste Aktion des Initialisierungsvorgangs beim Chipkar- 
tenhersteller wird der verlagsspezifische Schlussel K-Chip- 
Verlag eingebracht. Das Kryptogramm des Schliissels 
wurde dem Chipkartenhersteller zuvor vom Verlag als Teil 20 
der Initialisierungstabelle sicher zur Verfiigung gestellt. 
[0048] Die Initialisierungsanlage sendet ein Kommando 
VERIFY_CHIPPWD mit dem verschlusselten K-Chip- Ver- 
lag an den Chip der Signaturkarte. Nach Empfang der Daten 
vergleicht der Chip die ubergebenen Schlussel-Informatio- 25 
nen (VID, KID und KV) mit den im Startbereich gespei- 
cherten Werten. Erkennt der (]hip so, dass ihm ein neuer 
Schlussel iibergeben wurde, entschliisselt der Chip mit Hilfe 
des Schliissels K-Chip das Kryptogramm von K-Chip- Ver- 
lag. Im Startbereich des EEPROMS wird der Schlussel K- 30 
Chip durch K-Chip- Verlag ersetzt. Die erfolgreiche Ausfuh- 
rung des Kommandos wird durch Anderung des Chipzu- 
stands protokoUiert. In Fig. 3 ist die Einbringung des 
Schliissels K-Chip- Verlag dargestellt. Ahnlich wie bei der 
Darstellung der Fig. 1 erfolgt ein Uberspielen des geheimen 35 
Schliissels des Abnehmers aus einem Speicherplatz 18 des 
CliipkartenhersteUers in den Speicherbereich 8, in dem bis- 
lang der geheime Schlussel des Chipherstellers unterge- 
bracht war. 

[0049] Beschreibung des Kommandos "VERI- 40 
FY_CHIPPWD": 

Das Kommando VERIFY CHIPPWD ermoglicht es, ent- 
weder den Schliissel Kchip durch den verlagsspezifischen 
Schliissel Kchip veriag zu ersetzen (falls Lc = 'IE' ist) oder das 
in den Kommandodaten iibergebene Passwort anhand eines 45 
Vergleichs mit dem im persistenten Speicher gespeicherten 
Chippasswort zu verifizieren (falls Lc = '08' oder Lc = 'IE' 
ist). In jedem Fall autorisiert eine erfolgreiche Kommando- 
ausfiihrung die exteme Welt zur Ausfiihrung weiterer Kom- 
mandos. 50 
[0050] Der Fehlbedienungszahler (FBZ) fiir das Chip- 
passwort und der Fehlbedienungszahler fiir den Kchip.veiiag 
mlissen persistent im Startbereich des EEPROM gespeichert 
werden, damit sie bei einer Stromunterbrechung nicht ge- 
loscht werden. Hat bei der Verwendung des Chippass worts 55 
oder des Kchip_veiiag durch das Kommando der jeweilige 
FBZ den Wert '00', so bricht das Kommando mit Fehlermel- 
dung ab. 

[0051] Beim Aufruf dcs Kommandos wird zunachst die 
Integritat des Startbereichs mit einer proprietar zu realisie- 60 
renden Routine gepriift. 

[0052] Fiir den Modus "Chippasswort vergleichen" (Lc = 
'08') wird folgendermaBen verfahren: 

Ist der Wert des Fehlbedienungszalilers fiir das Chippass- 
wort '00', so wird das Kommando mit dem Retumcode '69 65 
83' abgebrochen. Ist dieser FBZ nicht '00', dann verifiziert 
der Chip das in den Kommandodaten iibergebene 8 Byte 
lange Chippasswort CHIPPWD anhand eines Vergleichs mit 
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dem im Startbereich des EEPROM stehenden Chippass- 
wort. Bei einem falschen Wert des Chippasswortes wird der 
FBZ des Chippasswortes um eins dekrementiert und das 
Kommando wird mit dem Retumcode '63 Cx' abgebrochen. 
Dabei gibt 'x' den Wert dieses FBZ und somit die Anzahl der 
weiteren Versuche an, also 'x' = '2', T oder '0'. 
[0053] Ist der Vcrglcich crfolgrcich, so wird der Fehlbe- 
dienungszahler des C^hippasswortes auf den Initialwert '03' 
zuriickgesetzt, im fliichtigen Speicher wird ein Rag gesetzt, 
das die erfolgreiche Verifikation des Chippasswortes signa- 
lisiert und das Kommando wird mit der Ausgabe des Re- 
tumcodes '90 00' beendet. 

[0054] Der Kommandoaufmf im Modus Lc = '08' wird 
z. B. verwendet als Authentikation beim Einbringen der 
ProtokoUdaten der Modulherstellung, bei der Personalisie- 
rung und — im Fall einer zweigeteilten Initialisierungstabelle 
— zu Beginn des zweiten Teils der Initialisierungstabelle. 
Am Anfang der Initialisierungstabelle wird es im Modus L^ 
= 'IE' abgesetzt, da dort ein Schliisselwechsel voigesehen 
ist. 

[0055] Im Folgenden werden diese Bezeichnungen ver- 
wendet: 

VDaten: VID2 II KID2 II KV2 II KcMp_verkg II '00 00 00 00 00' 
MAC(VDaten): Retail- CFB -MAC uber VDaten berechnet 
mit Kchip_veiiag und ICV = '00 . . . 00' 

CHIPPWD: ein vom ROM- Maskenhers teller vergebenes 
und vom CMphersteller eingebrachtes 8 Byte langes Pass- 
wort oder MAC (VDaten), falls bereits ein Schliisselwechsel 

zu Kchip_veriag stattgcfunden hat 

[Kchip_veiiag]- Kchip_veriag Hiit dem Kchip im CBC-Mode mit 
ICV = '00 . . . 00' Triple-DES verschlusselt 
VIDl: ZKA-Herstellerkennung des Chipherstellers fiir den 
im Chip enthaltenen Kchip 

VID2: ZKA-Herstellerkennung des Verlags fiir den in den 
Chip einzubringenden KchLp verlag 

KIDl, KID2: Schliisselnummer/-ID des entsprechenden 
Schliissels 

KVl, KV2: Schliisselversion des entsprechenden Schliissels 
[0056] Fiir den Modus "eventuell Schliissel wechseln" (1^ 
= 'IE') wird folgendermaBen verfahren: 
Der Chip priift, ob das Tripel (VIDl, KlDl, KVl) verschie- 

den ist vom Tripel (VID2, KIDl, KV2) und ob das im Start- 
bereich befindliche und zu Kchip gehorige Tripel (VID, KLD, 
KV) entweder gleich (VIDl, KTDl, KVl) oder gleich 
(VID2, K[D2, KV2) ist. Ist dies nicht der Fall, wird das 
Kommando mit dem Retumcode '64 00' abgebrochen. 
[0057] Lc = 'IE' mit Schliisselwechsel: 
Falls das Tripel (VID, KLD, KV) identisch ist mit (VIDl, 
KIDl, KVl), wird der Wert des Fehlbedienungszahlers fiir 
den Schliissel Kchip gepriift. Ist er '00', so wird das Kom- 
mando mit dem Retumcode '69 83' abgebrochen. Ist dieser 
FBZ nicht '00', dann priift der Chip die Kommandodaten. 
Das Kr5^ptogramm [Kchip.Veriagl wird mit Kchip entschliis- 
selt. Mit dem so erhaltenen Kchip Verlag wird ansciilieBend 
der Wert MAC(VDaten) berechnet und mit dem entspre- 
chenden Wert aus den Kommandodaten verglichen. Stim- 
men die beiden MAC-Werte nicht iiberein, wird der FBZ des 
Kchip um eins dekrementiert und das Kommando mit dem 
Retumcode '63 Cx' abgebrochen. Dabei gibt 'x' den Wert 
dieses Fehlbedienungszahlers und somit die Anzahl der wei- 
teren Versuche an, also 'x' = E' . . . '0'. 
[0058] Stimmt der MAC aus den Kommandodaten mit 
dem berechneten MAC( VDaten) iiberein, ersetzt der Chip 
im Startbereich VID, KTD und KV des Schliissels Kchip 
durch VID2, KID2 und KV2 und Kchip durch Kchip_veriag 
und setzt den zugehorigen FBZ auf '10'. AnschlieBend wird 
das 8 Byte lange Chippasswort im Startbereich durch den 
Wert MAC(VDaten) (=CHIPPWD) ersetzt und der FBZ des 
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Chippasswortes auf '03' gesetzt. Der Chipzustand wird auf 2 
gesetzt. Dann wird ein Flag im fluchtigen Speicher gesetzt, 
das die erfolgreiche Verifikation des Chippassworts signali- 
siert und das Kommando mit Returncode *90 00' beendet. 
[0059] Lc = IE' ohne Schliisselwechsel: 5 
Falls das Tripel (VID, KID, KV) identisch ist mit (VID2, 
KID2, KV2), wird CHIPPWD im Startbcrcich mit dcm in 
den Kommandodaten iibergebenen Wert MA(!(VDaten) 
verglichen. Diese Priifung verlauft mit Ausnahme der Ande- 
rung des Chipzustands wie im Modus Lc = '08': 10 
Ist der Wert des Fehlbedienungszahlers des Chippasswortes 
'00', so wird das Kommando mit dem Returncode '69 83' ab- 
gebrochen. Stimmen die beiden Werte fur CHIPPWD nicht 
iiberein, wird der FBZ des Chippasswortes um eins dekre- 
mentiert und das Kommando wird mit dem Returncode '63 15 
Cx' abgebrochen. Dabei gibt 'x' den Wert dieses FBZ und so- 
mit die Anzahl der weiteren Versuche an, also 'x' = '2', '1' 
oder '0'. Ist der Vergleich erfolgreich, so wird der FBZ des 
Chippasswortes auf den Initialwert '03' zuriickgesetzt und 
im fluchtigen Speicher wird ein Flag gesetzt, das die erfolg- 20 
reiche Verifikation des Chippasswortes signalisiert. Der 
Chipzustand wird auf 2 gesetzt und das Kommando wird mit 
der Ausgabe des Returncodes '90 00' beendet. 
[0060] AuBer dem Wechsel von Kqj^^p ZU K(;;;}j[p_Yei^-[ag 
mit diesem Kommando im Modus Lc = 'IE' ebenfalls mog- 25 
lich, von einem Verlagsschlussel Kchip_verLag ^uf einen ande- 
ren Verlagsschlussel Kchip_veriag zu wechseln. Dabei wird im 
Chip der alte Kchip_veiiag behandelt wie oben beschrieben 
der Kchip. Hierzu bedarf es der entsprechenden Kommando- 
daten mit der Chiffre des neuen unter dem alten Kchip_veriag 
und dem neuen Chippasswort. 
[0061] Funktion des Kommandos: 

Uberpriifung und Verarbeitung des Chippasswortes, ggf. 
Schliisseltausch Eingabelange: Lc 'IE' oder '08' 
Kommandodaten: 35 
falls L, = 'IE': VIDl II KIDl II KVl II VID2 II KID2 II KV2 II 
[Kchip veriag] H MAC(VDaten) 

falls Lc = '08': 8 Byte langes Chippasswort CHIPPWD 
Returncodes: 

'90 00': erfolgreich ausgefuhrt 40 

'6E 00': ungiiltiger CLA-Wert 

'6D 00': ungultiger INS- Wert 

'6 A 86' ungultiger Wert in PI oder P2 

'67 00': falsche Lange 

'6F 00': allgemeiner Fehler - technisches Problem 45 
'63 Cx': Authentikation gescheitert, 'x' weitere Versuche 
moglich 

'69 83': Authentikation blockiert (Fehlbedienungszahler = 
'00') 

'64 00': Execution Error, State of non-volatile memory un- 50 
changed (wird ausgegeben, wenn beim Lesen von Daten in- 
haltliche Fehler oder Inkonsistenzen festgestellt werden) 
[0062] Der weitere Initialisierungsvorgang fur den Chip 
der Signaturkarte erfolgt durch Laden der Initialisierungsta- 
behe in den Chip. Um den hoheren Sicherheitsanforderun- 55 
gen einer Signaturkarte zu geniigen, ist das Initialisierungs- 
image gegen Manipulation geschiitzt. 
[0063] Laden des Initialisierungsimages in den Chip: 
In der Initialisicrungsumgcbung des Chipkartcnhcrstcllcrs 
werden nach Einbringung des verlagsspezifischen Schliis- 60 
sels K-Chip- Veriag in den Speicherplatz 21 zunachst die Be- 
reichsgrenzen BTAB fiir das Initialisierungsimage uberge- 
ben. Dazu enthalt der Teil CTRL_TAB der Initialisierungs- 
tabelle das INITIALIZE- Kommando mit dem Parameter 
BTAB. Der Chip akzeptiert die in BTAB vorgegebenen 65 
Werte fiir die Bereichsgrenzen nur, wenn so der Bereich ge- 
geniiber den Vorgaben von BChip im Startbereich des Chips 
eingeschrankt wird oder gleich bleibt. Der Chipzustand an- 
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dert sich anschlieBend auf "Image laden". Ein spateres 
Ubersclireiben von BTAB wird durch den Chip bis zum er- 
folgreichen Abschluss des VERIFY_EEPROM- Komman- 
dos oder bis zu einer Reinitialisierung ausgeschlossen. Kei- 
nesfalls darf es moglich sein, als zu initialisierenden Adress- 
bereich Telle des Start-Bereichs des EEPROMs oder andere 
Spcichcrbcrcichc auBcrhalb des Codc-Datcn-Bcrcichs anzu- 
geben und zu manipulieren. 

[0064] Im nachsten Schritt wird der Code-/Daten-Bereich 
des EEPROMs von der Initialisierungsanlage des Chipkar- 
tenherstellers anhand der Initialisierungstabelle wie in Fig. 
2 dargestellt initialisiert, w^obei hier die zu initialisierenden 
Adressbereiche des EEPROMs vom Betriebssystem auf ihre 
Lage innerhalb der durch BTAB vorgegebenen Bereichs- 
grenzen uberpriift werden: 

AnschlieBend werden die Daten in den Priifbereich einge- 

bracht, siehe Fig. 4. Neben dem erwahnten Speicherplatz 21 

fiir den verlagsspezifischen Schliissels K-Chip- Veriag gibt 

es weitere Speicherplatze 20 und 22 bis 24, die bei der In- 

itialisierung mit Priifdaten besetzt werden. 

[0065] Die Priifdaten enthalten (auf der Schnittstelle zwi- 

schen Initialisierungsmaschine und Chipkarte): 

den mit K-Chip- Veriag verschliisselten Triple-DES-Schliis- 

sel KINITAB_MAC, 

den mit K-Chip- Veriag verschliisselten Triple-DES-Perso- 
nalisierungs-Schliissel KPers, 

den mit K-(]hip- Veriag verschlusselten Triple-DES-Perso- 
nalisierungs-S chliissel KTransfer, 

die Zuordnung Z mit der Halbleiter/ROM-Masken-Kombi- 
nation, die bei VERIFY_EEPROM gegen eine vorhandene 
Eintragung im Startbereich des Chip-EEPROMs gepriift 
wird, 

den MAC iiber den Code/Daten-Bereich, 

die Zusatzinformation Info-PK- Veriag zum PK-Verlag- 

Chip, 

den offentlichen Schliissel PK- Verlag-Chip, 

die verlagsspezifische Kennzeichnung der Initialisierung 

und 

die Signatur uber den Hash-Wert von KINITAB_MAC II 
KPers II KTransfer II Z II BTAB II MAC (Image) II In- 
fo_PK_Verlag verlagsspezifische Kennzeichnung der Initia- 
lisierung. 

[0066] Danach erfolgt eine Uberpriifung, ob die Inhalte 
des Code/Datenbereichs 5 des EEPROMS 2 der Chipkarte 
authentisch sind. Dazu wird ein entsprechendes Kommando 
an den Chip geschickt. Dies fiihrt zu folgenden Vorgangen: 
Das Betriebssystem des Chips bildet zunachst den Hash- 
Wert iiber den im Priif-Bereich des Speichers gespeicherten 
offentlichen Schliissels PK- Verlag-Chip und vergleicht die- 
sen mit dem iiber Info-PK- Veriag referenzierten, in der 
ROM-Maske hinterlegten Hash-Wert. Stimmt der berech- 
nete Hash-Wert mit dem zugehorigen, in der ROM-Maske 
vorhandenen Hash-Wert iiberein, ist der im Priif-Bereich ge- 
speicherte PK- Verlag-Chip authentisch. 
[0067] Dann priift der Chip mit dem Schliissel PK- Verlag- 
Chip die Signatur uber die Priifdaten P = (KINITAB_MAC II 
KPers II KTransfer II Z II BTAB II MAC uber das InitiaHsie- 
rungsimage II Info_PK_Verlag II verlagsspezifische Kenn- 
zeichnung der Initialisierung). Dazu wird zunachst der 
Hash-Wert (SHA-1) iiber P gebildet und anschlieBend mit 
dem Hash-Wert, der sich durch RSA-Public-Key- Verschliis- 
selung der Signatur iiber P mit Hilfe des PK- Verlag-Chip er- 
gibt, verglichen. Stimmen die beiden Hash- Werte iiberein, 
sind insbesondere der eingebrachte KINITAB MAC und 
der MAC uber den EEPROM-Inhalt des Code/Daten-Be- 
reichs authentisch. Die Priifdaten werden nur akzeptiert, 
wenn Z mit dem entsprechenden Kennzeichen der Chipher- 
stellerdaten im Startbereich Qbereinstimmt. 
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[0068] AnschlieBend berechnet der Chip mit dem Schliis- 
sel KINITAB_MAC unter Verwendung der Bereichsgren- 
zen BTAB den MAC iiber den Code-/Daten-Bereich des 
EEPROMs (inkl. der Protokolldaten fiir die Chipherstellung 
(Byte 1-3, 8-9 und 14), fur die Initialisierung (ohne die er- 5 
sten 16 Byte) und fiir die Personalisierung) und vergleicht 
dicscn mit dcm im Prufbcrcich gcspcichcrtcn MAC. Stim- 
men beide MAC^s uberein, ist nachgewiesen, dass das EE- 
PROM korrekt initialisiert wurde und das eingebrachte In- 
itialisierungsimage authentisch ist. 10 
[0069] Nach erfolgreicher Uberpriifung andert der Chip 
seinen Zustand in OK. Nun kann von dem Betriebssystem 
die in der Sprung adresse 13 gespeicherte RETURN - An- 
weisung durch die Adresse der Sprungtabelle 15 im Code/ 
Datenbereich 5 des EEPROMS 2 ersetzt werden. Damit 15 
werden die Unterprogrammaufrufe des ROM Codes nicht 
mehr gesperrt, sondem iiber die Sprungtabelle oder einen 
anderen Mechanismus an den entsprechenden Programm- 
code im entsprechenden Bereich 5 des EEPROMs 2 adres- 
siert. Der Programmcode in diesem Bereich ist damit fur das 20 
Betriebssystem verfugbar und ausfuhrbar. Dies ist schema- 
tisch in Fig. 5 dargestellt. 

[0070] AnschlieBend kann dann die Personalisierung 
durchgefiihrt werden. Die bisherige strikte organisatorische 
Trennung von Initialisierungs- und Personalisierungsumge- 25 
bung muss fur die Produktion der Chipkarte nicht beibehal- 
ten werden, da die Schliissel verschliisselt in die CMpkarte 
eingebracht werden. 

Patentanspruche 30 

1. Verfahren zum Produzieren von elektronischen Si- 

cherheitselementen, insbesondere Chipkarten, mit fol- 
genden Verfahrensschritten: 

1.1 mindestens ein Prufwert, insbesondere ein of- 35 
fentlicher Schliissel des Abnehmers der Chip- 
karte, wird bei der Chipherstellung in einem Spei- 
cherbereich des Chips gespeichert, 

1.2 bei der Initialisierung des elektronischen Si- 
cherheitselements wird ein gegebenenfalls ad- 40 
dressierbarer Priifwert verwendet, 

1.3 mit Hilfe des in der Chipkarte gespeicherten 
Priifwerts wird die Authentizitat von bei der In- 
itialisierung eingebrachten Daten gepriift, 

1.4 bei einem negativen Ausgang der Uberpru- 45 
fung wird die Initialisierung abgebrochen. 

2. Verfahren nach Anspruch 1, bei dem anstelle des of- 
fentlichen Schliissels des Abnehmers der Chipkarte ein 
von diesem abgeleiteter Hashwert in den Speicherbe- 
reich des Chips eingebracht wird. 50 

3. Verfahren nach einem der vorhergehenden Ansprii- 
che, bei dem der offentliche Schliissel und/oder der 
Hashwert von dem Abnehmer der Chipkarte erzeugt 
und dem Hersteller des Chips und/oder der ROM 
Maske mitgeteilt wird. 55 

4. Verfahren nach Anspruch 3, bei dem der zur Be- 
rechnung des Hashwerts benutzte Algorithmus dem 
Hersteller des Chips und/oder der ROM Maske mitge- 
teilt und in dcm Spcichcr des Chips mit abgcspcichcrt 
wird. 60 

5. Verfahren nach Anspruch 2 oder 3, bei dem der 
Hashwert von dem Hersteller des Chips und/oder der 
ROM Maske erzeugt und zusammen mit dem zu seiner 
Erzeugung benutzten Algorithmus in dem Speicher des 
Chips abgespeichert wird. 65 

6. Verfahren nach einem der Anspriiche 1 bis 5, bei 
dem der Hashwert des eingegebenen offentlichen 
SchlQssels an Hand des Algorithmus neu berechnet und 



das Ergebnis mit dem abgespeicherten Hashwert ver- 
glichen wird. 

7. Verfahren nach einem der vorhergehenden Ansprii- 
che, bei dem bei der Initialisierung der offentliche 
Schliissel beziehungsweise Hashwert und der zur Er- 
zeugung seines Hashwerts benutzte Algorithmus ange- 
gcbcn werden. 

8. Verfahren nach einem der vorhergehenden Ansprii- 
che, bei dem bei mehreren moglichen Abnehmem der 
Chipkarte fiir jeden Abnehmer ein offentUcher Schliis- 
sel bzw. ein Hashwert und/oder der Algorithmus zu sei- 
ner Erzeugung gespeichert wird. 

9. Verfahren nach einem der vorhergehenden Ansprii- 
che, bei dem fiir einen Abnehmer der Karte mehrere of- 
fentliche Schliissel beziehungsweise Hashwerte fiir 
mehrere offentliche und/oder geheime Schliissel abge- 
speichert werden. 

10. Sicherheitsmodul, enthaltend einen Chip mit einer 
ROM Maske und einem EEPROM, wobei in dem 
ROM ein Hashwert des oftentlichen Schliissels des 
Abnehmers der Chipkarte oder der offentliche Schliis- 
sel selbst abgespeichert und das Betriebssystem derart 
ausgelegt ist, dass nur bei erfolgreicher Signaturprii- 
fung unter Verwendung des oftentlichen Schliissels des 
Abnehmers der Chipkarte die Initialisierung moglich 
ist. 

11. Sicherheitsmodul nach Anspruch 10, bei dem in 
dem ROM auch Angaben iiber den zur Berechnung des 
Hashwerts verwendeten Algorithmus abgespeichert 
sind. 

12. Sicherheitsmodul nach Anspruch 10 oder 11, bei 
dem bei mehreren moglichen Abnehmem der Chip- 
karte fiir jeden Abnehmer ein Hashwert und/oder ein 
Algorithmus zu seiner Erzeugung abgespeichert ist. 

13. Sicherheitsmodul nach einem der Anspriiche 10 
bis 12, bei dem fiir einen Abnehmer der Karte mehrere 
offentliche Schliissel beziehungsweise Hash-Werte fiir 
mehrere offentliche Schliissel abgespeichert sind. 
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